Single sign on 当SLO配置文件未启用时,SAML LogoutRequest的用途是什么?
在单次注销SLO下的SAML Core SAML-Core-2.0-os:3.7.1和SAML Profiles SAML-Profiles-2.0-os:4.4.3.1规范中提到了LogoutRequest。SLO工作需要sessionIndex,否则无法映射会话参与者。但是,根据核心规范,sessionIndex是一个可选元素。因此,这意味着即使SLO配置文件未启用/不受支持,也可以发送LogoutRequests 是的,我知道SAML可以用于许多安全用例——不仅仅是SSO。但是,在SAML SSO场景中,如果未启用SLO,则仅向身份提供商IdP注销端点发送SAML LogoutRequest以外的任何请求就足以使该单个会话无效。如果我没记错的话,SalesForce和GoogleApps就是这么做的 在这样的场景中涉及SAML LogoutRequest似乎是对处理的浪费。有人可能会争辩说,使用签名的LogoutRequests可以确保请求是由受信任的一方发送的,但实际上,网络罪犯只想登录,而不是注销Single sign on 当SLO配置文件未启用时,SAML LogoutRequest的用途是什么?,single-sign-on,logout,saml,Single Sign On,Logout,Saml,在单次注销SLO下的SAML Core SAML-Core-2.0-os:3.7.1和SAML Profiles SAML-Profiles-2.0-os:4.4.3.1规范中提到了LogoutRequest。SLO工作需要sessionIndex,否则无法映射会话参与者。但是,根据核心规范,sessionIndex是一个可选元素。因此,这意味着即使SLO配置文件未启用/不受支持,也可以发送LogoutRequests 是的,我知道SAML可以用于许多安全用例——不仅仅是SSO。但是,在SAML
但是,一些SAML SSO提供程序在非SLO场景中支持LogoutRequests。这有什么用?如果SLO是使用重定向完成的,则可以认为不需要LogoutRequest,但最好确定SLO请求是由使用签名的一方发送的。如果你不需要,允许你不信任的人采取行动是个坏主意 在同步SOAP用于SLO的情况下。需要该请求来使用sessionindex标识会话 但是,一些SAML SSO提供程序在非SLO场景中支持LogoutRequests。这有什么用呢 您的意思是提供者发出会话索引属性吗?会话索引不仅用于SLO请求,而且还用于身份验证。但我认为大多数提供者之所以包含这个,只是因为它们支持SLO,并默认生成这个sessionindex。即使接收方不使用它